Se protéger contre les attaques de phishing sur le thème des coronavirus

AccueilTous les articlesNouvelles en vedetteSe protéger contre le phishing sur le thème des coronavirus ...

Le monde a changé de manière sans précédent au cours des dernières semaines en raison de la pandémie de coronavirus. S'il a fait ressortir le meilleur de l'humanité à bien des égards, comme pour toute crise, il peut également attirer le pire dans certains. Les cybercriminels utilisent la peur et le besoin d'informations des gens dans les attaques de phishing pour voler des informations sensibles ou propager des logiciels malveillants à des fins lucratives. Même si certains groupes criminels prétendent qu'ils arrêtez d'attaquer les établissements de santé et de soins, la réalité est qu'ils ne peuvent pas contrôler totalement la propagation des logiciels malveillants.

Alors que le phishing et d'autres attaques par e-mail se produisent effectivement, le volume d'e-mails malveillants mentionnant le coronavirus est très faible. Pourtant, les clients nous demandent ce que fait Microsoft pour les protéger contre ces types d'attaques et ce qu'ils peuvent faire pour mieux se protéger. Nous avons pensé que ce serait un moment utile pour récapituler le fonctionnement de notre détection automatisée et du partage de signaux pour protéger les clients (avec un exemple récent spécifique), ainsi que pour partager certaines des meilleures pratiques que vous pouvez utiliser personnellement pour vous protéger des tentatives de phishing.

Ce que fait Microsoft

Premièrement, 91% de toutes les cyberattaques commencent par le courrier électronique. C'est pourquoi la première ligne de défense fait tout ce que nous pouvons pour empêcher les e-mails malveillants de vous parvenir en premier lieu. Un système de défense multicouche qui inclut l'apprentissage automatique, la détonation et le partage de signaux est essentiel pour notre capacité à trouver et à arrêter rapidement les attaques par e-mail.

Si l'un de ces mécanismes détecte un e-mail, une URL ou une pièce jointe malveillants, le message est bloqué et ne parvient pas à votre boîte de réception. Toutes les pièces jointes et les liens sont déclenchés (ouverts dans des machines virtuelles isolées). L'apprentissage automatique, les analyseurs d'anomalies et les heuristiques sont utilisés pour détecter les comportements malveillants. Les analystes de la sécurité humaine évaluent en permanence les rapports de courrier suspect soumis par les utilisateurs pour fournir des informations supplémentaires et former des modèles d'apprentissage automatique.

Une fois qu'un fichier ou une URL est identifié comme malveillant, les informations sont partagées avec d'autres services tels que Microsoft Defender Advanced Threat Protection (ATP) pour garantir que la détection des points de terminaison bénéficie de la détection des e-mails, et vice versa.

Un exemple intéressant de cette action s'est produit plus tôt ce mois-ci, lorsqu'un attaquant a lancé une campagne de spear-phishing qui a duré moins de 30 minutes.

Les attaquants ont conçu un e-mail conçu pour ressembler à un rapport de risque légitime de la chaîne d'approvisionnement pour les colorants alimentaires avec une mise à jour basée sur les perturbations dues au coronavirus. La pièce jointe, cependant, était malveillante et fournissait une charge utile multicouche sophistiquée basée sur le cheval de Troie Lokibot (Trojan: Win32 / Lokibot.GJ! MTB).

Capture d'écran d'un e-mail de phishing concernant une mise à jour du coronavirus.

Si cette charge utile avait été déployée avec succès, les pirates auraient pu l'utiliser pour voler des informations d'identification pour d'autres systèmes - dans ce cas des comptes FTP et des mots de passe - qui pourraient ensuite être utilisés pour d'autres attaques.

Seuls 135 clients locataires ont été ciblés, avec une pulvérisation de 2 047 messages malveillants, mais aucun client n'a été touché par l'attaque. Le service de détonation Office 365 ATP, le partage de signaux entre les services et les analystes humains ont travaillé ensemble pour l'arrêter.

Et grâce au partage de signaux entre les services, les clients n'utilisant pas de service de messagerie Microsoft comme Office 365, Exchange hébergé ou Outlook.com, mais utilisant un PC Windows avec Microsoft Defender activé, étaient entièrement protégés. Lorsqu'un utilisateur a tenté d'ouvrir la pièce jointe malveillante à partir de son service de messagerie non Microsoft, Microsoft Defender est intervenu, interrogeant ses modèles d'apprentissage automatique basés sur le cloud et a constaté que la pièce jointe était bloquée en raison d'une précédente détection de cloud Office 365 ATP. La pièce jointe n'a pas pu s'exécuter sur le PC et le client a été protégé.

Ce que tu peux faire

Alors que les mauvais acteurs tentent de tirer parti de la crise du COVID-19, ils utilisent les mêmes tactiques qu'ils utilisent toujours. Vous devez être particulièrement vigilant maintenant pour prendre des mesures pour vous protéger.

Assurez-vous que vos appareils disposent des dernières mises à jour de sécurité installées et d'un service antivirus ou anti-malware. Pour les appareils Windows 10, Microsoft Defender Antivirus est un service intégré gratuit activé via les paramètres. Activez la protection fournie par le cloud et la soumission automatique d'échantillons pour permettre à l'intelligence artificielle (IA) et à l'apprentissage automatique d'identifier et d'arrêter rapidement les menaces nouvelles et inconnues.

Activez les fonctionnalités de protection de votre service de messagerie. Si vous avez Office 365, vous pouvez en savoir plus sur Exchange Online Protection ici et Office 365 ATP ici.

Utilisez l'authentification multifacteur (MFA) sur tous vos comptes. La plupart des services en ligne offrent désormais un moyen d'utiliser votre appareil mobile ou d'autres méthodes pour protéger vos comptes de cette manière. Voici des informations sur l'utilisation Authentificateur Microsoft et autres conseils sur cette approche.

La prise en charge de l'authentification multifacteur est disponible dans le cadre de l'offre gratuite Azure Active Directory (Azure AD). Apprendre encore plus ici.

Informez-vous, vos amis et vos collègues sur la façon de reconnaître les tentatives de phishing et de signaler les rencontres suspectes. Voici quelques-uns des signes révélateurs.

  • Orthographe et mauvaise grammaire. Les cybercriminels ne sont pas connus pour leur grammaire et leur orthographe. Les entreprises ou organisations professionnelles disposent généralement d'une équipe éditoriale pour garantir aux clients un contenu professionnel de haute qualité. Si un e-mail est plein d'erreurs, il s'agit probablement d'une arnaque.
  • Liens suspects. Si vous pensez qu'un e-mail est une arnaque, ne cliquez sur aucun lien. Une méthode pour tester la légitimité d'un lien consiste à poser votre souris - mais pas à cliquer - sur le lien pour voir si l'adresse correspond à ce qui a été tapé dans le message. Dans l'exemple suivant, le fait de poser la souris sur le lien révèle la véritable adresse Web dans la zone sur fond jaune. Notez que la chaîne de numéros d'adresse IP ne ressemble en rien à l'adresse Web de l'entreprise.
  • Pièces jointes suspectes. Si vous recevez un e-mail avec une pièce jointe d'une personne que vous ne connaissez pas, ou un e-mail d'une personne que vous connaissez mais avec une pièce jointe à laquelle vous ne vous attendiez pas, il peut s'agir d'une tentative de phishing, nous vous recommandons donc de ne pas ouvrir de pièces jointes jusqu'à ce que vous ayez vérifié leur authenticité. Les attaquants utilisent plusieurs techniques pour essayer de tromper les destinataires en leur faisant croire qu'un fichier joint est légitime.
    • Ne faites pas confiance à l'icône de la pièce jointe.
    • Méfiez-vous des extensions de fichiers multiples, telles que «pdf.exe» ou «rar.exe» ou «txt.hta».
    • En cas de doute, contactez la personne qui vous a envoyé le message et demandez-lui de confirmer que l'e-mail et la pièce jointe sont légitimes.
  • Des menaces. Ces types d'e-mails provoquent un sentiment de panique ou de pression pour que vous répondiez rapidement. Par exemple, il peut inclure une déclaration telle que "Vous devez répondre avant la fin de la journée". Ou en disant que vous pourriez faire face à des sanctions financières si vous ne répondez pas.
  • Usurpation d'identité. Les e-mails d'usurpation d'identité semblent être connectés à des sites Web ou à des entreprises légitimes, mais vous amènent à des sites frauduleux ou affichent des fenêtres contextuelles d'apparence légitime.
  • Adresses Web modifiées. Une forme d'usurpation d'identité où les adresses Web ressemblent étroitement aux noms d'entreprises bien connues, mais sont légèrement modifiées; par exemple, «www.micorsoft.com» ou «www.mircosoft.com».
  • Mauvaise salutation de votre nom.
  • Inadéquations. Le texte du lien et l'URL sont différents l'un de l'autre; ou le nom, la signature et l'URL de l'expéditeur sont différents.

Si vous pensez avoir reçu un e-mail de phishing ou suivi un lien dans un e-mail qui vous a redirigé vers un site Web suspect, il existe plusieurs façons de signaler ce que vous avez trouvé.

Si vous pensez que le courrier que vous avez reçu est suspect:

  • Outlook.com. Si vous recevez un e-mail suspect qui vous demande des informations personnelles, cochez la case en regard du message dans votre boîte de réception Outlook. Sélectionnez la flèche à côté de Déchet, puis pointez sur Hameçonnage.
  • Microsoft Office Outlook 2016 et 2019 et Microsoft Office 365. Dans le message suspect, sélectionnez Signaler un message dans le protection onglet sur le ruban, puis sélectionnez Hameçonnage.

Si vous êtes sur un site Web suspect:

  • Microsoft Edge. Lorsque vous êtes sur un site suspect, sélectionnez le Suite (…) icône> Envoyez des commentaires > Signaler un site dangereux. Suivez les instructions de la page Web qui s'affiche pour signaler le site Web.
  • Internet Explorer. Lorsque vous êtes sur un site suspect, sélectionnez l'icône d'engrenage, pointez sur Sécurité, puis sélectionnez Signaler un site Web dangereux. Suivez les instructions de la page Web qui s'affiche pour signaler le site Web.

Si vous pensez avoir un fichier suspect:

  • Soumettre le fichier à analyser.
  • Si vous utilisez Office 365:
    • Les administrateurs peuvent utiliser le Portail des soumissions dans le Centre de sécurité et de conformité Office 365 pour envoyer des e-mails, des URL et des pièces jointes à Microsoft pour analyse s'ils ont été reçus dans l'une des boîtes aux lettres Exchange Online de leur utilisateur. Plus de détails peuvent être trouvés ici.

Ce n'est qu'un domaine dans lequel nos équipes de sécurité de Microsoft travaillent pour protéger les clients et nous en partagerons davantage dans les semaines à venir. Pour plus d'informations et les meilleures pratiques pour rester en sécurité et productif grâce au travail à distance, au soutien de la communauté et à l'éducation en ces temps difficiles, visitez Page de ressources COVID-19 de Microsoft pour les dernières informations.

Par Tanmay Ganacharya, directeur associé, recherche sur la sécurité de @MicrosoftPartnerNetwork

Partager cette publication:

Tu pourrais aussi aimer

Qu'est-ce que la transformation numérique?
2 mai 2020
La transformation numérique est ce qui arrive aux organisations qui adoptent des moyens nouveaux et innovants pour…
Mailchimp Partner: de nouveaux outils pour aider votre entreprise à se développer
2 mai 2020
Automatisez les e-mails en fonction de l'activité de vos utilisateurs dans l'application, planifiez des publications sur les réseaux sociaux, réactivez votre page de destination…

laissez un commentaire

Mise à jour COVID-19

Garder une longueur d'avance sur COVID-19

Notre objectif est d'aider à garder nos employés en bonne santé.

Si vous ne vous sentez pas bien, veuillez ne pas rendre visite aux employés de nos bureaux. 

Le malaise comprend, mais sans s'y limiter, les problèmes respiratoires (toux, écoulement nasal, fièvre, essoufflement).

Sites (Turquie - Emirats Arabes Unis - Maroc)

Veuillez ne pas entrer si vous avez récemment voyagé à l'extérieur. Vous devrez reporter votre visite jusqu'à 14 jours après le voyage pour réduire le risque de propagation de l'infection à notre personnel. Contactez la personne que vous souhaitez visiter pour obtenir des instructions et des informations supplémentaires. Nous mettons à la disposition du personnel des outils de réunion virtuelle. Vous pourrez peut-être organiser une participation à distance.

Si vous entrez dans notre bureau, veuillez suivre les règles d'hygiène protocoles pour votre sécurité et la nôtre.

Merci de nous aider à nous garder tous en bonne santé et en sécurité.

Mises à jour locales du COVID-19
fr_FRFrench
en_USEnglish aryMoroccan Arabic fr_FRFrench